Comment se protéger des scripts malicieux sur Windows

Sur Windows, il existe plusieurs langage de Scripts, en autre :

  • JavaScript, normalement interprété par le navigateur WEB, Windows peut aussi interprété ce dernier. L’extension est .js
  • Visual Basic Scripting Edition ou VBScript, l’extension est .vbe ou .vbs
  • AutoIT, il permet de compiler des exécutables.
  • Python, nécessite d’avoir installer la suite python. L’extension est .py

Nous nous intéresserons au deux premiers type de scripts, VBS et Javascript au sein de Windows (mais pas des navigateurs WEB) à travers Windows Scripting Host de Windows.

Les Scripts malicieux

En effet, des JavaScripts sont de plus en plus utilisés par des campagnes d’emails malicieux.
En avril 2015, j’avais écrit ce dossier Malware par VBS / WSH ( Windows Scripting Host ) concernant le VBScript très utilisé par les infections amovibles.
Il est aussi arrivé plus rarement que les VBScript soient utilisés dans des campagnes d’emails malicieux, voir par exemple la page : SPAM Malicieux Français : Zbot/Zeus

En Décembre 2015, la campagne d’emails malicieux poussant du TeslaScript utilisa massivement le JavaScript, puis se fut au tour du Ransomware Locky d’utiliser le JavaScript dans des emails.
Le principe est simple, on envoie des emails zippés contenant un fichier JavaScript, si l’utilisateur double-clic dessus, le malware est téléchargé et installé sur l’ordinateur.

Email_malicieux_JavaScript

Depuis donc, on assiste à une explosion de cette utilisation de scripts malicieux en pièce jointe sous forme de Trojan.Downloader.

Microsoft détecte souvent ces dernières, le lendemain de la campagne, voici quelques unes de ces détections :

  • TrojanDropper:JS/Swabfex
  • TrojanDropper:JS/Nemucod
  • TrojanDropper:JS/Zlader

En vidéo le ransomware Locky bloqué par la désactive de Windows Script Host :

Comment bloquer les scripts malicieux sur Windows

Marmiton

Pour être tranquille face à ces menaces, vous pouvez utiliser Marmiton
Marmiton permet de bloquer tous types de scripts ainsi que les macros Office, enfin, Marmiton permet aussi de gérer une liste blanche de scripts autorisés à s’exécuter.

  • Téléchargez et lancez Marmiton : Télécharger Marmiton
  • SmartScreen peut bloquer l’installeur de Marmiton, cliquez sur « Informations complémentaire » puis « Exécuter quand même » pour forcer l’exécution de l’installation de Marmiton. Malgré le message, cela ne craint rien pour votre ordinateur.

Marmiton_bloque_smartscreen

  • Lancez l’installation de Marmiton.
  • Une fois Marmiton installé, lancez-le.
  • Cliquez sur Désactiver au niveau de Windows Script Host afin de le positionné en désactiver.
  • Réglez aussi les programmes Office en vert en bas à droite afin de vous protéger des documents Office Malicieux

A ce stade là, Marmiton va bloquer les scripts malicieux (VBS, VBE, JavaScript etc) et document Office malicieux.
Si besoin ; La FAQ Marmiton : http://secuboxlabs.fr/outils/marmiton/

Désactiver Windows Script Host

Si vous ne souhaitez pas utiliser Marmiton, le plus efficace reste de désactiver Windows Script Host, comme cela est expliqué sur la page du forum avec le DisableWSH.reg en ligne.

Desactiver_WSH_email_malicieux
Changer les associations de fichiers

Autre solution pour les paranos, en plus de désactiver Windows Script Host, vous pouvez néanmoins changer l’association de fichiers pour faire pointer l’extension .js vers le bloc-note par exemple, ainsi, si un utilisateur double-clic sur un .js, il sera simplement ouvert sur le bloc-note.
Vous pouvez néanmoins changer l’association de fichiers pour faire pointer l’extension .js vers le bloc-note par exemple, ainsi, si un utilisateur double-clic sur un .js, il sera simplement ouvert sur le bloc-note.
Allez dans le Panneau de configuration\Tous les Panneaux de configuration\Programmes par défaut\Définir les associations
Javascript_desactiver_scripts_malicieux

En modifiant l’associations de fichiers JavaScript des .js et .jse avec le bloc-note, si vous ouvrez un Javascript malicieux, ce dernier s’ouvrira sur le bloc-note et aucun malware ne sera téléchargé et installé sur l’ordinateur.
Cette astuce permet de se protéger contre les Trojan.Downloader.JS par email mais devrait assez inefficace contre les scripts par disques amovibles, puisqu’en général, ces derniers forcent l’utilisation de wscript.exe
Javascript_desactiver_scripts_malicieux_2

Nous vous recommandons très vivement de désactiver Windows Script Host.
Pour les administrateurs réseaux, si un domaine Windows est disponible, vous pouvez utiliser Windows AppLocker

Bien entendu ces méthodes ne bloquent pas 100% des scripts mais aident, plus d’informations sur le contournement sur la page : scripts malveillants & contournements, l’écho des revenants
Les conseils concernant les virus par email : Virus par Email : Ce qu’il faut savoir pour les éviter.
Plus d’informations et conseils sur la manière de sécuriser son ordinateur : Comment Sécuriser son ordinateur

FAQ sur la désactivation de Windows Script Host

Des questions reviennent souvent, j’ajoute donc cette FAQ.

La désactivation peut-il empêcher le surf ?

Non. Windows Script Host n’est pas utilisé pour l’affichage des pages WEB et par les navigateurs WEB.
Rien à voir avec Java ou JavaScript.
La désactivation de Windows Script Host empêche l’exécution de scripts au niveau du shell Windows (l’explorateur de fichiers si vous préférez), les navigateurs WEB ont leurs propres mécanismes d’affichage de age WEB.
Inversement, la désactivation de Windows Script Host ne bloque pas les JavaScript malicieux qui peuvent être utilisés par des infections de type Web Exploit. Une extension type NoScript permet de faire cela, voir la page Sécuriser Firefox.

La désactivation peut-il empêcher certaines applications de fonctionner ?

Cela peut arriver que des applications aient besoin d’utiliser des scripts VBS, dans ce cas, cela peut empêcher celle-ci de fonctionner correctement.
Vous aurez alors la popup de Marmiton ou de Windows indiquant que Windows Script HOST est désactivé.
Il me semble avoir vu des ordinateurs Lenovo ou Sony ayant un scripts VBS au démarrage (ça ne fera pas planté l’ordinateur ou posera de gros problèmes).
Maintenant ceci est relativement rare.

Liens connexes

Si vous souhaitez aller plus loin dans la sécurisation de votre ordinateur, rendez-vous sur la page : Comment sécuriser mon Windows

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 2 438 times, 1 visits today)

3 thoughts on “Comment se protéger des scripts malicieux sur Windows

  1. slt malekal
    « En Décembre 2016, la campagne d’emails malicieux poussant du TeslaScript utilisa massivement le JavaScript,  »
    tu veux dire décembre 2015!!

  2. bonjour,

    très bonne explication mais:
    il serait bien d’expliquer les impacts d’une telle désactivation de wsh.
    S’il existe c’est bien qu’il doit servir à quelque chose ou quelque programme.
    Est-ce utilisé par les navigateurs par exemple ?
    Savoir dans quel cas il est lancé permettrait de savoir s’il est légitime d’avoir l’alerte « wsh désactivé » et qu’on peut/doit donc réactiver wsh.

    Merci pour nous tous.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *